Dzienniki UE

Dz.U.UE.L.2019.209.19

| Akt obowiązujący
Wersja od: 9 sierpnia 2019 r.

DECYZJA ZARZĄDU EUROPEJSKIEJ AGENCJI LEKÓW
z dnia 12 czerwca 2019 r.
w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji

ZARZĄD EUROPEJSKIEJ AGENCJI LEKÓW,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , a w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 z dnia 11 września 2013 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz uchylające rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady i rozporządzenie Rady (Euratom) nr 1074/1999 2 ,

uwzględniając regulamin pracowniczy urzędników Unii Europejskiej, w szczególności jego art. 2 ust. 3 i art. 30 załącznika IX oraz warunki zatrudnienia innych pracowników Unii Europejskiej,

uwzględniając przepisy wykonawcze EMA dotyczące prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych z dnia 8 czerwca 2012 r. 3 ,

uwzględniając wytyczne Europejskiego Inspektora Ochrony Danych (EIOD) wydane w dniu 18 grudnia 2018 r. i powiadomienie EIOD do celów art. 41 ust. 2 rozporządzenia (UE) 2018/1725,

po konsultacji z Komitetem Pracowniczym,

a także mając na uwadze, co następuje:

(1) Europejska Agencja Leków ("EMA" lub "Agencja") została ustanowiona rozporządzeniem (WE) nr 726/2004 Parlamentu Europejskiego i Rady 4  w celu koordynacji istniejących zasobów naukowych udostępnionych jej przez państwa członkowskie do celów oceny, nadzoru i nadzoru nad bezpieczeństwem farmakoterapii w odniesieniu do produktów leczniczych.

(2) Agencja prowadzi postępowania administracyjne i postępowania dyscyplinarne zgodnie z zasadami określonymi w regulaminie pracowniczym urzędników Unii Europejskiej i warunkach zatrudnienia innych pracowników Unii Europejskiej, Agencja może również prowadzić wstępne działania związane z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF (zgodnie z rozporządzeniem (UE, Euratom) nr 883/2013), zajmować się przypadkami sygnalizowania nieprawidłowości, zajmować się procedurami (formalnymi i nieformalnymi) w zakresie nękania, rozpatrywać skargi wewnętrzne i zewnętrzne, przeprowadzać audyty wewnętrzne, przeprowadzać dochodzenia za pośrednictwem inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzające (IT) prowadzone wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE).

(3) Agencja przetwarza kilka kategorii danych osobowych, takich jak dane identyfikacyjne, dane kontaktowe, dane zawodowe. Europejska Agencja Leków reprezentowana przez dyrektora wykonawczego ponosi odpowiedzialność jako administrator danych. Na szczeblu wewnętrznym kierownik Wydziału Administracji i Zarządzania Korporacyjnego został powołany do działania z upoważnienia jako administrator danych w odniesieniu do działań, których dotyczy niniejsza decyzja (do jej celów, zwany dalej "administratorem"). Jeżeli postępowanie administracyjne lub postępowanie dyscyplinarne dotyczy kierownika Wydziału Administracji i Zarządzania Korporacyjnego, zastępca dyrektora wykonawczego jest administratorem w odniesieniu do danego postępowania. Dane osobowe są przechowywane w postaci pliku elektronicznego i w formie papierowej. Dane w formie papierowej przechowywane są w zamkniętej szafie, do której dostęp mają wyłącznie pracownicy upoważnieni przez kadrę kierowniczą wyższego szczebla. Pliki elektroniczne przechowywane są w bezpiecznym środowisku elektronicznym, które zostało zaprojektowane i jest utrzymywane w sposób uniemożliwiający przypadkowe lub bezprawne zniszczenie, utratę, zmianę, przekazanie, nieuprawnione ujawnienie lub dostęp do danych osobowych partnerom wewnętrznym i zewnętrznym, którzy nie zostali upoważnieni do uzyskania dostępu do takich danych.

(4) Przetwarzane dane osobowe są przechowywane zgodnie z art. 13 przepisów wykonawczych EMA dotyczących prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych z dnia 8 czerwca 2012 r., jak wyjaśniono w art. 2 ust. 3 niniejszej decyzji.

(5) Niniejsza decyzja w sprawie wewnętrznych zasad powinna mieć zastosowanie do wszystkich operacji przetwarzania dokonywanych przez Agencję w toku realizacji postępowań administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), zajmowania się przypadkami sygnalizowania nieprawidłowości, zajmowania się procedurami (formalnymi i nieformalnymi) w zakresie nękania, rozpatrywania skarg wewnętrznych i zewnętrznych, przeprowadzania audytów wewnętrznych, prowadzenia dochodzeń za pośrednictwem inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego (IT) prowadzonego wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE). Niniejsza decyzja powinna mieć zastosowanie do operacji przetwarzania przeprowadzonych przed rozpoczęciem postępowań, o których mowa powyżej, w trakcie tych postępowań oraz podczas monitorowania działań następczych w związku z wynikiem tych postępowań.

(6) Niniejsza decyzja dotycząca przepisów wewnętrznych powinna mieć również zastosowanie do działań związanych z pomocą i współpracą, które Agencja zapewnia poza zakresem swoich postępowań administracyjnych innym instytucjom, organom i jednostkom organizacyjnym Unii, właściwym organom państw członkowskich i organizacjom międzynarodowym w celu ochrony ich operacji przetwarzania; a także do działań związanych ze współpracą z instytucjami i organami UE oraz przekazywaniem im informacji na temat postępowania administracyjnego lub dyscyplinarnego. W tym celu Agencja powinna konsultować się z tymi instytucjami, organami, jednostkami organizacyjnymi, władzami lub organizacjami w sprawie istotnych powodów nałożenia ograniczeń oraz w sprawie konieczności i proporcjonalności ograniczeń.

(7) Agencja musi uzasadnić, dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w społeczeństwie demokratycznym oraz szanować istotę podstawowych praw i wolności;

(8) W tych ramach Agencja jest zobowiązana w jak największym stopniu przestrzegać praw podstawowych osób, których dane dotyczą, w trakcie powyższych postępowań, w szczególności, ale nie wyłącznie, tych dotyczących prawa dostępu i sprostowania, prawa do usunięcia danych, jak zapisano w rozporządzeniu (UE) 2018/1725.

(9) Agencja może jednak być zobowiązana do odroczenia przekazania informacji osobie, której dane dotyczą, i innych praw osoby, której dane dotyczą, w celu ochrony, w szczególności jej własnych dochodzeń i postępowań, dochodzeń i postępowań prowadzonych przez inne organy publiczne, a także praw innych osób związanych z jej dochodzeniami i postępowaniami.

(10) Agencja może zatem odroczyć przekazanie informacji w celu ochrony swoich postępowań administracyjnych i postępowań dyscyplinarnych, dochodzeń i postępowań innych organów publicznych, a także ochrony tożsamości informatorów i innych osób zaangażowanych w postępowania, w tym sygnalistów i świadków, którzy nie powinni odczuwać negatywnych skutków swojej współpracy. W szczególności art. 5 ust. 3 przepisów wykonawczych EMA dotyczących prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych z dnia 8 czerwca 2012 r. przewiduje obowiązek informowania każdego pracownika, który może być osobiście zaangażowany w dochodzenie, o ile takie powiadomienie nie utrudnia prowadzenia postępowania. Stanowi to ograniczenie stosowania praw osób, których dane dotyczą, w szczególności art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725. W związku z tym, zgodnie z art. 25 tego rozporządzenia, ustanawia się przepisy wewnętrzne w celu zapewnienia, że takie ograniczenie odbywa się z poszanowaniem istoty podstawowych praw i wolności, oraz że jest to środek konieczny i proporcjonalny w społeczeństwie demokratycznym.

(11) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administrator może odroczyć lub powstrzymać się od przekazania osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia w stosunku do osoby, której dane dotyczą, jeżeli takie powiadomienie w jakikolwiek sposób zagroziłoby celowi ograniczenia. W celu zapewnienia, aby prawo osoby, której dane dotyczą do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 było ograniczone tylko dopóty, dopóki przyczyny takiego odroczenia będą obowiązywały, Agencja powinna regularnie dokonywać przeglądu swojego stanowiska.

(12) W przypadku ograniczenia innych praw osób, których dane dotyczą, administrator powinien ocenić w poszczególnych przypadkach, czy powiadomienie o ograniczeniu zagrażałoby jego celowi.

(13) Zgodnie z zasadą proporcjonalności Agencja powinna regularnie (mniej więcej co sześć miesięcy) monitorować, czy nadal istnieją warunki uzasadniające konkretne ograniczenie. W związku z tym Agencja powinna znieść ograniczenie, jeżeli warunki, które uzasadniają ograniczenie, nie mają już zastosowania.

(14) Agencja powinna skonsultować się z inspektorem ochrony danych ("IOD") w momencie odroczenia przekazania informacji lub w przypadku innego ograniczenia prawa osób, których dane dotyczą, jak również przy ocenie warunków, czy ograniczenie jest nadal uzasadnione,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1.  Niniejsza decyzja ustanawia przepisy dotyczące warunków, na jakich Agencja w ramach postępowań administracyjnych i postępowań dyscyplinarnych, przy zgłaszaniu spraw do OLAF zgodnie z rozporządzeniem (UE, Euratom) nr 883/2013, może ograniczyć, na podstawie art. 25 rozporządzenia (UE) 2018/1725, stosowanie praw określonych w art. 14-21, 35 i 36 oraz art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21.
2.  Niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez Agencję do celów prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych, a także do przeprowadzania wstępnych działań związanych z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF (zgodnie z rozporządzeniem (UE, Euratom) nr 883/2013), do zajmowania się przypadkami sygnalizowania nieprawidłowości, zajmowania się procedurami (formalnymi i nieformalnymi) w zakresie nękania, rozpatrywania skarg wewnętrznych i zewnętrznych, przeprowadzania audytów wewnętrznych, prowadzenia dochodzeń za pośrednictwem inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowań sprawdzających (IT) prowadzonych wewnętrznie lub przy udziale podmiotów zewnętrznych (np. CERT-UE).

Niniejsza decyzja powinna mieć również zastosowanie do działalności Agencji w zakresie pomocy i współpracy oferowanej przez Agencję poza zakresem jej postępowania administracyjnego innym instytucjom, organom i jednostkom organizacyjnym Unii, właściwym organom państw członkowskich i organizacjom międzynarodowym w celu ochrony ich operacji przetwarzania.

Ponadto niniejsza decyzja ma zastosowanie do działań związanych ze współpracą z instytucjami i organami UE oraz przekazywaniem im informacji na temat postępowania administracyjnego lub dyscyplinarnego, w przypadku gdy takie informacje są niezbędne dla odbiorcy do oceny podstaw wszczęcia formalnego postępowania wyjaśniającego lub wszczęcia postępowania.

3.  Agencja przetwarza kilka kategorii danych osobowych, takich jak dane identyfikacyjne, dane kontaktowe, dane zawodowe. Kategorie przetwarzanych danych mogą obejmować twarde dane (na przykład dane administracyjne, numer telefonu, adres prywatny, komunikację elektroniczną i dane o ruchu) lub miękkie dane (na przykład sprawozdania z oceny, wszczęcie postępowań, sprawozdania z dochodzeń wstępnych, zapisy/protokoły z zeznań świadków i przesłuchań prowadzonych w toku śledztwa, działalność społeczna i zachowanie pracowników, uwagi dotyczące umiejętności i wydajności danego(-ych) pracownika(-ów) itp.)
4.  Kategorie osób, których dane dotyczą, które mogą podlegać niniejszej decyzji, to pracownicy i byli pracownicy Agencji, tj. (byli) pracownicy, urzędnicy/administratorzy, oddelegowani eksperci krajowi i stażyści, a także (byli) wykonawcy Agencji.
5.  Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą dotyczyć następujących praw: przekazywania informacji o naruszeniu ochrony danych osobowych osobom, których dane dotyczą, zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725; prawa dostępu osób, których dane dotyczą, zgodnie z art. 17 rozporządzenia (UE) 2018/1725; prawa do sprostowania, usunięcia, ograniczenia przetwarzania oraz powiadamiania o sprostowaniu lub usunięciu zgodnie z art. 18, art. 19 ust. 1 oraz art. 20 i 21 rozporządzenia (UE) 2018/1725.
Artykuł  2

Określenie administratorów i zabezpieczeń

1.  Europejska Agencja Leków reprezentowana przez dyrektora wykonawczego ponosi odpowiedzialność jako administrator danych. Na szczeblu wewnętrznym kierownik Wydziału Administracji i Zarządzania Korporacyjnego został powołany do działania z upoważnienia jako administrator danych w odniesieniu do działań, których dotyczy niniejsza decyzja. Jeżeli postępowanie administracyjne lub postępowanie dyscyplinarne dotyczy kierownika Wydziału Administracji i Zarządzania Korporacyjnego, zastępca dyrektora wykonawczego jest administratorem w odniesieniu do danego postępowania.
2.  Dane osobowe są przechowywane w postaci pliku elektronicznego lub w formie papierowej. W celu uniknięcia naruszeń ochrony danych osobowych, wycieków danych lub ich nieuprawnionego ujawnienia wprowadzono następujące zabezpieczenia:
a) Dane w formie papierowej przechowywane są w zamkniętej szafie, do której dostęp mają wyłącznie upoważnieni pracownicy na zasadzie ścisłej potrzeby. System bezpieczeństwa pomieszczeń, wewnętrzne strategie w zakresie zarządzania dokumentacją, szkolenia pracowników i audyty są również dostępne w celu zapewnienia odpowiednich zabezpieczeń.
b) Pliki elektroniczne przechowywane są w bezpiecznym środowisku elektronicznym, które zostało zaprojektowane i jest utrzymywane w sposób uniemożliwiający przypadkowe lub bezprawne zniszczenie, utratę, zmianę, przekazanie, nieuprawnione ujawnienie lub dostęp do danych osobowych partnerom wewnętrznym i zewnętrznym, którzy nie zostali upoważnieni do uzyskania dostępu do takich danych
c) Zasady ścisłej poufności i tajemnicy zawodowej mające zastosowanie do wyznaczonych osób prowadzących dochodzenie lub do wszystkich osób, które w jakikolwiek inny sposób są zaangażowane w postępowanie administracyjne lub dyscyplinarne, wymagane w przepisach wykonawczych EMA dotyczących prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych z dnia 8 czerwca 2012 r., a także w regulaminie pracowniczym i warunkach zatrudnienia innych pracowników Unii Europejskiej, zapewniają wysoki poziom ochrony przed zagrożeniem dla praw i wolności osób, których dane dotyczą, związanych z przetwarzaniem.
d) Zgodnie z zasadą minimalizacji danych Agencja będzie gromadzić i przetwarzać wyłącznie dane osobowe, które są odpowiednie, stosowne i ograniczają się do tego, co jest niezbędne do celów, dla których są przetwarzane. Dodatkowe zabezpieczenia mają zastosowanie w przypadku przetwarzania szczególnych kategorii danych, a także w przypadku przetwarzania danych osobowych dotyczących wyroków skazujących i przestępstw lub powiązanych środków ochrony.
3.  Obowiązują następujące okresy przechowywania i zatrzymywania danych:
a) Zgodnie z art. 13 przepisów wykonawczych EMA dotyczących prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych z dnia 8 czerwca 2012 r., jeżeli pracownikowi nie postawiono żadnego zarzutu lub jeżeli taki zarzut został postawiony, ale nie wszczęto postępowania dyscyplinarnego, dokumenty w formie papierowej i elektronicznej dotyczące postępowań administracyjnych, a także kopia pierwotnego powiadomienia pracownika znajdująca się w aktach osobowych przechowywane są przez okres 5 lat od daty decyzji stwierdzającej brak konieczności stawiania zarzutu bądź wszczynania postępowania dyscyplinarnego, zgodnie z art. 5 tych przepisów wykonawczych. Przepis ten nie ma zastosowania do decyzji umieszczonej w aktach osobowych pracownika na jego wniosek zgodnie z art. 1 ust. 3 załącznika IX do regulaminu pracowniczego i art. 5 ust. 5 przepisów wykonawczych EMA dotyczących prowadzenia postępowań administracyjnych i postępowań dyscyplinarnych z dnia 8 czerwca 2012 r. Taka decyzja jest usuwana z akt osobowych wyłącznie na wniosek danego pracownika.
b) W przypadku postawienia pracownikowi zarzutu, dokumenty w formie papierowej i elektronicznej oraz kopia pierwotnego powiadomienia pracownika znajdująca w aktach osobowych przechowywane są przez okres 10 lat od daty decyzji o wszczęciu postępowania dyscyplinarnego. W wyjątkowych przypadkach, gdy w interesie Agencji pozostaje przechowywanie akt dotyczących postępowania administracyjnego po upływie 10 lat, uzasadniona decyzja wydawana jest na sześć miesięcy przed upływem okresu 10 lat i jest przekazywana danemu pracownikowi. W uzasadnionej decyzji podaje się dodatkowy okres przez który zachowuje się akta dotyczące postępowania administracyjnego. W takich przypadkach w aktach osobowych pracownika zachowuje się również powiadomienie.
4.  Zagrożenia dla praw i wolności osoby, której dane dotyczą, mogą pociągać za sobą zagrożenia dla prawa do poszanowania poufności jej prywatnej korespondencji, prawa do wolności wypowiedzi i informacji oraz prawa do obrony i do bycia wysłuchanym. Zagrożenia te zostaną zrównoważone w stosunku do przyczyn i celów uzasadniających zastosowanie ograniczeń przewidzianych w niniejszej decyzji. Takie równoważenie jest należycie udokumentowane i przeprowadzane na podstawie analizy poszczególnych przypadków w celu zapewnienia, aby ograniczenie było stosowane wyłącznie w razie konieczności i w sposób proporcjonalny, a także zgodnie z zasadami określonymi w niniejszej decyzji.
Artykuł  3

Ograniczenia

1.  Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 wszelkie ograniczenia stosuje się wyłącznie w celu zabezpieczenia:
a) zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
b) innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnych interesów Unii lub państwa członkowskiego, w tym zdrowia publicznego i ubezpieczenia społecznego;
c) wewnętrznego bezpieczeństw instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
d) zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
e) funkcji monitorowania, funkcji kontrolnej lub regulacyjnej związanej, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a)-c).
f) ochrony osoby, której dane dotyczą, bądź praw i wolności innych osób;
2.  W ramach konkretnej realizacji celów określonych w ust. 1 powyżej Agencja może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom i jednostkom organizacyjnym Unii Europejskiej, właściwym organom państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym w następujących okolicznościach:
a) jeżeli realizacja tych praw i obowiązków mogłaby być objęta ograniczeniem przez służby Komisji lub inne instytucje, organy, agencje lub urzędy Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, lub zgodnie z aktami założycielskimi innych instytucji, organów, agencji i urzędów Unii;
b) jeżeli realizacja tych praw i obowiązków mogłaby zostać ograniczona przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 5  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu i Rady (UE) 2016/680 6 ;
c) jeżeli realizacja tych praw i obowiązków mogłaby zaszkodzić współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, Agencja konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dla Agencji jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3.  Wszelkie ograniczenia są niezbędne i proporcjonalne w społeczeństwie demokratycznym i szanują istotę podstawowych praw i wolności.
4.  Przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5.  Ograniczenia są należycie monitorowane, a przegląd okresowy dokonywany jest przynajmniej co sześć miesięcy, aby ocenić, czy nadal istnieją warunki uzasadniające określone ograniczenie.
6.  Ograniczenia są znoszone, gdy tylko warunki, które je uzasadniają, przestaną mieć zastosowanie, na przykład gdy realizacja praw osób, których dane dotyczą, (np. przekazywanie informacji o przetwarzaniu danych i dostępie do akt) nie zagraża już celowi danego dochodzenia lub postępowania.
Artykuł  4

Informacje dla inspektora ochrony danych oraz przegląd

1.  Administrator (w imieniu Agencji) bez zbędnej zwłoki informuje IOD Agencji w każdym przypadku, gdy ogranicza on stosowanie praw osób, których dane dotyczą, zgodnie z niniejszą decyzją, oraz zapewnia dostęp do zapisów i dokumentacji oceny konieczności i proporcjonalności ograniczenia (w tym wszelkich dokumentów zawierających podstawowe elementy stanu faktycznego i prawnego). Wymóg ten ma zastosowanie również do wszelkich późniejszych przeglądów ograniczenia.
2.  Inspektor ochrony danych może zwrócić się do kontrolera na piśmie o dokonanie przeglądu stosowania ograniczeń. Agencja informuje na piśmie inspektora ochrony danych o wynikach takiego przeglądu.
3.  Wymiana informacji z inspektorem ochrony danych w toku całego postępowania jest rejestrowana i dokumentowana na piśmie.
Artykuł  5

Ograniczenie udzielania informacji osobom, których dane dotyczą

1.  W oświadczeniu o ochronie prywatności dotyczącym postępowań administracyjnych i dyscyplinarnych, opublikowanym na swoich stronach intranetowych Agencja zamieszcza informacje dotyczące potencjalnego ograniczenia tych praw. Informacje te dotyczą tego, które prawa mogą być ograniczone, przyczyn tego ograniczenia i potencjalnego okresu obowiązywania.
2.  Ponadto Agencja bez zbędnej zwłoki i na piśmie i bez uszczerbku dla poniższych ustępów informuje indywidualnie osoby, których dane dotyczą, o ich prawach dotyczących obecnych lub przyszłych ograniczeń.
3.  W przypadku gdy Agencja ogranicza, w całości lub w części, udzielanie informacji osobom, których dane dotyczą, zgodnie z niniejszą decyzją, dokumentuje przyczyny ograniczenia, w tym ocenę konieczności i proporcjonalności takiego ograniczenia. W tym celu w takim wpisie określa się, w jaki sposób udzielenie informacji zagrażałoby celowi danego dochodzenia lub postępowania lub wpłynęłoby niekorzystnie na prawa i wolności innych osób. Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
4.  Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie. Jeżeli powody ograniczenia przestają mieć zastosowanie, Agencja przekazuje osobie, której dane dotyczą, informacje i powody ograniczenia. Osoby, których dane dotyczą, mogą przedkładać wszelkie zapytania inspektorowi ochrony danych.
5.  Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej.
6.  Agencja dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od jego przyjęcia i pod koniec procedury.
Artykuł  6

Ograniczenie prawa dostępu osób, których dane dotyczą

1.  Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 Agencja ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.
2.  Jeżeli Agencja ogranicza, w całości lub w części, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a) w odpowiedzi na wniosek informuje ona osobę, której dane dotyczą, o zastosowanym ograniczeniu i jego głównych przyczynach w zakresie, w jakim nie zagroziłoby to celowi danego dochodzenia lub postępowania, oraz o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej;
b) rejestruje przyczyny stosowania ograniczenia, w tym ocenę konieczności i proporcjonalności takiego ograniczenia; w tym celu we wpisie określa się, w jaki sposób udzielenie dostępu zagrażałoby celowi danego dochodzenia lub procedury lub wpłynęłoby niekorzystnie na prawa i wolności innych osób.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można odroczyć udzielenie informacji, o których mowa w lit. a), pominąć je lub go odmówić.

3.  Rejestr, o który mowa w ust. 2 lit. b oraz, w stosownych przypadkach, dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych. Zastosowanie ma art. 25 ust. 7 rozporządzenia (UE) 2018/1725.
Artykuł  7

Ograniczenie prawa do sprostowania, usunięcia i ograniczenia przetwarzania

Jeżeli Agencja ogranicza, w całości lub w części, stosowanie prawa do sprostowania, usunięcia lub ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1, art. 20 ust. 1 i art. 21 rozporządzenia (UE) 2018/1725, podejmuje ona kroki określone w art. 6 ust. 2 niniejszej decyzji i rejestruje wpis zgodnie z art. 6 ust. 3 tego rozporządzenia.

Artykuł  8

Ograniczenie zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych oraz poufności komunikacji elektronicznej

1.  Jeżeli Agencja ogranicza zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, o którym mowa w art. 35 rozporządzenia (UE) 2018/1725, dokumentuje ona i rejestruje przyczyny ograniczenia zgodnie z art. 5 ust. 3-6 niniejszej decyzji.
2.  Jeżeli Agencja ogranicza prawo do poufności komunikacji elektronicznej osoby, której dane dotyczą, o której mowa w art. 36 rozporządzenia (UE) 2018/1725, dokumentuje ona i rejestruje przyczyny ograniczenia zgodnie z art. 5 ust. 3-6 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Amsterdamie dnia 12 czerwca 2019 r.

Christa WIRTHUMER-HOCHE

Przewodniczący zarządu EMA

1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 248 z 18.9.2013, s. 1.
3 Doc. ref. 7.20/08.
4 Rozporządzenie (WE) nr 726/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. ustanawiające unijne procedury wydawania pozwoleń dla produktów leczniczych stosowanych u ludzi i do celów weterynaryjnych i nadzoru nad nimi oraz ustanawiające Europejską Agencję Leków (Dz.U. L 136 z 30.4.2004, s. 1).
5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
6 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.